根據醫院工作需要，我院擬對 “醫院等保及安全運維服務”進行需求調查，并向全社會公開， 誠邀有服務能力和技術能力的潛在供應商參與調查。 本次需求調查的目的在于： 1、征集技術指標；2、尋求有效、合理的市場價格，為制定招標控制價提供合理的依據。 與本次需求調查相關的事宜如下： 一、項目清單 序號 名稱 規格配置 服務期限 1 安全運維服務 提供資產探測服務一年 1次；包括不限于***個二級系統安全風險評估服務；安全措施有效性巡檢服務一年1次；內網業務安全服務一年4次；外網業務安全服務一年 4 次；一年不限次數安全應急響應服務；新系統上線測試；護網保障服務、安全日志分析服務；全院現有備份容災平臺，提供一年 4次備份數據巡檢服務；提供一年內4次現場任意一個已備份主機的恢復演練服務。 提交相關報告。每年提供不少于 5個新系統測試服務與新系統風險評估服務。 2 年 2 等保測評及等保咨詢服務 每年提供 8個三級系統及3個二級系統的等保測評及等保咨詢服務。 2 年 3 容災備份運維服務 全院現有容災備份運維服務，每年 4次現場巡檢服務及恢復演練服務并提交相關報告。 2 年 4 虛擬化運維服務 提供全院虛擬化平臺 運維服務 ，每年 4次現場巡檢服務并提交 相關報告。 2 年 二、技術要求 （一） 安全運維 服務 序號 服務項目 服務細項 服務內容 服務范圍 服務頻度 交付成果 1 資產探測服務 資產探測服務 通過資產探測系統，進行應用探測，端口探測、指紋識別等深度資產探測服務。 醫院局域網 1 次 / 年 《資產探測報告》 資產管理服務 協助和指導信息科人員建立信息資產安全管理規范，設計信息資產的安全管理表格。 2 安全風險評估服務 網絡架構安全風險評估 分析整體的網絡拓撲結構安全隱患，分析醫院網絡面臨的外部和內部威脅。 參照等級保護和信息安全技術相關標準，采用漏洞掃描、安全訪談、登錄檢查、日志分析等手段，對醫院二級信息系統安全等級風險評估： 包括但不限于 DIP、重癥監護系統、手麻系統、合理用藥系統、自助系統、億能達系統、胸痛卒中系統、靜配系統、一卡通系統、出入院管理系統、質追溯管理系統、人力資源管理系統、手術室行為管理系統、績效管理系統、腫瘤放療系統、心電診斷中心、母嬰核驗系統、全病歷質控系統、遺傳醫學系統、電子票據系統、設備生命全周期系統風險評估，出具《安全風險評估報告》。 針對風險評估中發現的安全漏洞協助指導整改，及時對已整改的風險進行驗證。同時對全院信息系統 基礎設施及二級系統存在風險提供咨詢及協助整改服務，及時對已整改的風險進行驗證。 1 次 / 年 《安全風險評估報告》 網絡設備風險評估 評估現有網絡設備的配置和使用狀況，考察網絡設備的有效性、安全性，面向交換、路由設備。 安全設備風險評估 評估現有安全設備的配置和使用狀況，考察安全設備的有效性、安全性，面向 防火墻、數據庫審計、網閘、堡壘機等相關安全設備。 主機服務器系統安全風險評估 檢查內部網絡的主機系統與數據庫系統，評估主系統與數據庫本身存在的安全漏洞。 核心業務系統安全風險評估 評估業務系統存在的安全問題，涵蓋口令、權限、帳戶、日志審計、系統補丁等方面。 3 安全措施有效性巡檢服務 網絡邊界管控有效性及策略核查 對醫院網絡邊界、外聯線路進行分析，發現其可能存在的安全隱患。 醫院內網、外網主干網絡設備、安全設備與軟件、核心服務器 4 次 / 年 《設備巡檢報告》 硬件措施有效性及策略核查 硬件措施有效性及策略核查（防火墻、入侵檢測等），涵蓋安全策略優化、運行狀態巡檢、自身安全性檢查、日志巡檢。 軟件措施有效性及策略核查 軟件措施有效性及策略核查（防篡改、防病毒、終端管理等），涵蓋安全策略優化、運行狀態巡檢、自身安全性檢查、日志巡檢。 關鍵服務器審計措施有效性及策略核查 對關鍵服務器的安全配置、系統安全狀態、策略有效性進行檢測分析。 4 內網業務安全服務 安全掃描服務 對 全院四個院區 內網服務器進行漏洞掃描 內網 系統 4 次 / 年 《內網安全服務報告》 滲透測試服務 對 全院 業務系統 、 小程序及 APP 進行人工滲透測試 配置核查服務 對醫院核心服務器開展等保合規性配置檢查 安全加固與輔導服務 對醫院核心服務器系統進行安全加固 應用系統安全加固輔導 5 外網業務安全服務 遠程安全服務 Web 漏洞自動化掃描 外網業務系統 4 次 / 年 《外網安全服務報告》 Web 應用漏洞驗證及加固建議 現場安全服務 系統層漏洞檢測 、 小程序及 APP 滲透測試 數據庫安全性評估 服務器防黑入侵檢查 網頁木馬查殺 系統后門檢查 入侵痕跡檢查 日志分析服務 安全加固輔導服務 web 源代碼審查及加固建議 主機系統加固服務 數據庫安全加固建議 遠程安全監控服務 網站頁面可用性監控 互聯網網站 4 次 / 年 《網站安全監控報告》（報告每季度 1 份） 域名劫持監控 暗鏈檢測監控 網頁掛馬監測 安全加固建議 6 安全應急響應服務 遠程應急響應服務 7 * *** 小時遠程安全響應服務 ; 1 小時遠程響應 安全事件 2 年不限次數 按需提供《應急響應報告》 現場應急響應服務 市區 2 小時現場應急響應服務 安全事件 安全檢查技術支持服務 安全檢查協助服務 安全檢查 7 上線測試 新系統上線測試與風險評估服務 新系統上線安全測試服務與風險評估服務 安全檢查 2 年 新系統《上線測試報告》與《風險評估報告》， 每年不超過 5 個新增系統，每超過 1 個新增系統，需另外收費 8 護網保障 重大會議期間、攻防演練、護網行動保障服務 在重保時期：峰會、國家大型會議等會議提供現場的人工值守保障服務；主要工作內容：檢查日志服務器或日志綜合管理系統等設備的相關運行日志、威脅日志等信息，并分析其存在的風險，封堵 IP ，出具報告。 護網值守 2 年不限次數 出具《 每日 護網報告》 、 《護網總結報告》、《護網值守人員排班表》 9 安全日志分析服務 MSS 安全運營服務 實時監測內、外網安全設 備日志，通過安全專家，人工開展安全威脅分析和安全威脅情報服務；每天提供威脅情報、告警處置 服務、漏洞處置情況 ； 季度總結分析報告，提供可行性建議 。 2 年 出具《 每日 MSS 安全運營服務 報告 》 及《季度 安全運營服務 分析報告》 （二） 等保測評及等保咨詢 服務 1、 等保測評服務 依照 GB/T***《信息安全技術信 息安全等級保護基本要求》和《行 業信息系統安全等級保護基本要 求》，每年對 8 個被測系統進行三級等級保護測評以及3個被測系統進行二級等級保護測評；8個三級測評系統包含漳州市醫院信息管理系統（含 HIS、EMR、集成平臺）、實驗室信息系統、影像歸檔和通信系統、互聯網醫院、微信公眾號、健康體檢管理系統、 大屏播控系統、漳州市醫院官網系統；從***個二級系統中抽取3個進行測評，為確保測評覆蓋的廣度，在抽取時將排除上一年度已完成測評的系統。 2 、等保咨詢服務 按照 GB/T***《信息安全技術信息安全等級保護基本要求》和《行業信息系統安全等級保護基本要求》要求每年提供8個三級信息系統及 3 個二級信息系統的等級保護咨詢服務，包括資產分析服務、安全等保相關知識普及服務、差距評估、安全加固服務、等保制度建設服務、輔助測評等一站式服務。 （三）容災備份運維服務 全院現有容災備份運維服務，每年 4次現場巡檢服務及恢復演練服務并提交相關報告。 （ 1） 提供全院區備份平臺軟硬件巡檢服務，巡檢內容包括備份平臺設備基礎檢查、網絡狀態、性能分析、容量監控、平臺檢查、備份狀態、作業檢查、配置導出、作業復制狀態檢查、作業復制帶寬、作業網絡狀態、作業日志分析，以保證備份平臺可靠性和可用性，提交《備份巡檢報告》。 （ 2）針對備份平臺狀態（包括但不限于系統狀態、網絡狀態、性能監控、磁盤監控、日志分析、網絡時間、系統安全等整體狀態）信息巡檢、記錄、維護，及時調整出現問題，保證系統狀態及數據安全，建立數據安全巡檢文檔庫，定期更新狀態，并記錄相關維護內容。 （ 3）服務方每年提供4次現場備份恢復演練。每次演練從已備份的3級系統主機中隨機抽取（上限***臺），由備份容災產品認證工程師現場執行，并提交《恢復演練報告》。 ①通過備份平臺對應用系統數據恢復測試，應用系統恢復涉及虛擬機、數據庫、操作系統及驅動、配置控制文件、醫院信息應用系統軟件及應用配置等恢復測試現場服務； ②提供應用系統恢復演練測試，檢查網絡/主機/數據庫/數據等應用環境、恢復環境、恢復操作手冊、恢復操作流程、注意事項等，并在恢復演練后提供恢復演練報告，并建立應用恢復演練文檔庫； ③提供應用系統數據恢復現場服務，恢復演練服務：恢復演練后提供相關應用系統數據恢復時間、驗證恢復數據可用性、一致性； ④應用系統數據恢復演練結果通過客戶現場驗證或第三方驗證，應用系統數據恢復測試未通過，及時調整原系統問題，直至應用恢復演練通過驗證。 （ 4）在運維期內，現有備份系統軟件報錯、軟件BUG提供原廠技術服務；軟件版本升級提供原廠技術服務；因生產系統數據丟失，提供最近一次備份系統數據恢復的服務。 （ 5）本服務的覆蓋范圍為全院所有通過網絡安全等級保護二級（含）以上測評的系統。對于因醫院自有設備條件限制而暫無法滿足容災備份技術要求的系統，經雙方確認后可暫不納入。 （ 6）提供7****小時遠程響應服務，遠程無法處理的***分鐘到場技術支撐，運維期內不限次數。 （ 四 ）虛擬化運維服務 全院現有虛擬化運維服務 ，每年 4次現場巡檢服務并提交 相關報告。 （ 1）為全院虛擬化平臺提供7×***小時技術支撐與快速故障恢復服務，保障平臺及上層業務的高可用性、數據安全與穩定運行。 （ 2）依據醫院環境與戰略需求，提供定制化的虛擬化數據中心建設規劃，涵蓋計算、存儲、網絡、IP、命名規范、存儲、鏡像及模板等全方位設計，確保架構最優。 （ 3）提供從計算節點底層系統、管理平臺、數據中心到HA集群的全棧式部署與配置服務，確保落地效果符合規劃要求。 （ 4）提供虛擬化資源的周期性配置、優化、監控與維護，并對平臺及關聯存儲的復雜疑難問題提供深度技術支持。 （ 5）提供現有虛擬化及存儲環境的整合調試、光纖交換機聯調與Zoning配置、路徑優化、性能調優、排錯與日志分析等一站式服務，提升平臺效率與連續性。 （ 6）針對需重建虛擬化管理平臺的災難場景，服務方必須在本協議約定的最大恢復時限內，完成平臺標準化重建與核心業務恢復。 （ 7）提供7×***小時響應服務，承諾遠程響應時間≤***分鐘，遠程無法解決時提供***分鐘現場支持，服務期內不限次數。 （ 8）協助制定并落實虛擬化平臺安全基線，定期進行漏洞掃描與合規檢查，提供安全加固建議。 （ 9）每季度提供一次全面的《虛擬化平臺健康檢查報告》，涵蓋性能分析、容量預測、風險評估及優化建議，并主動匯報服務總結與改進計劃。 （ ***）按照日常虛擬化記錄，每季度提供一份《虛擬化維護報告》。 三、資質要求 熟悉醫療行業，具有中國網絡安全審查技術與認證中心或中國信息安全測評中心頒發的相關安全服務資質。項目組須由 2人或以上組成， 成員 須過通 CISP或CISAW認證 。 四、 報名材料 序號 材料標題 備注 1 報名材料封面 附件 1 2 營業執照 3 法定代表人授權書 4 法人及被授權人身份證 5 資質證書 安全服務資質及人員證書 6 中小企業聲明函 7 信用記錄查詢截圖 提供 “信用中國”網站、“中國政府采購網”網站（截圖查詢日期必須在該公告日期內） 8 近三年內在經營活動中沒有重大違法記錄書面聲明函 9 同類項目案例 中標通知書、合同、驗收報告，涂抹無效 *** 報價 附件 3 五、報名方式 ***年5月***日***:***前將報名材料加蓋公章，通過漳州市醫院采購全流程管理系統進行報名，操作方式詳見附件2《供應商報名操作手冊》。 六、其他說明 1.我院將針對報名 供應商 召開需求調查介紹會，時間地點另行通知。 2.本次需求調查活動僅作為我院采購參考，我院有權使用所征集技術指標中的相關內容。 3.參與本次需求調查活動的 供應商 ，我院不作任何承諾。因參與需求調查所產生的一切費用由報名 供應商 自行承擔，我院不支付任何相關費用。 4.本次需求調查的后續工作及結果，我院不做任何解釋。 5.本次需求調查活動的解釋權歸院方。 6.所有報名 供應商 均默認同意以上所有條款。 附件： 附件3：報價.docx 附件2：供應商報名操作手冊.doc 附件1：報名材料封面.docx